オンラインストア「Google Play」のポリシー変更により、セキュリティ上の抜け道が是正され、Google Playを通じてインストールされたすべてのアプリには同ストアを介してのアップデートが強制される。 DroidLifeの報道によると、Google Playを通じてインストールされながら、Google Playを介さずにアップデートをインストールするようユーザーに求めていたアプリケーションが、セキュリティ上の修正により排除されるという。 このコンテンツポリシーへの変更は、開発者がGoogle Playにログインしたときにも表示されるようだが、Google Playの迂回をユーザーに押し付けることのないよう警告している。新しいポリシーには、「Google Playからダウンロードされたアプリは、Google Playのアップデート処理以外の方法を利用してAPKのバイナリコードの修正や
ストーリー by hylom 2013年01月22日 17時15分 盗む価値のあるもの、盗みやすいものが狙われる 部門より 本家/.より。先月Googleアカウントの乗っ取りが話題に登ったのが記憶に新しいところですが、Googleはパスワードに代わる新たな認証方式について研究している模様(WIRED)。 現在、Googleでは閲覧時に認証が必要となる場合(認証用のCookieがない場合)、携帯電話へ認証コードを送り、それを入力してもらうという「2段階認証」を提供しています。最新の研究はそれをもう少し進化させようとするもの。 具体的には、スマートフォンやスマートカード内蔵の「指輪」を使い、これをコンピューターに「タッチ」させることで認証を行えるようにするものです。 Googleは特別なソフトウェア無しでブラウザで使えるようにしたいとのこと。クラッカーとのイタチごっこに終止符を打つことはできる
Googleが、ユーザーアカウントのセキュリティを強化する目的で、電話で生成したユニークな認証コードを利用する二段階認証機能を無料で提供する。 米Googleは2月10日(現地時間)、Googleアカウントのセキュリティを強化する二段階認証機能を全ユーザーに無料で提供すると発表した。オプトインで提供される同機能を有効にすると、ログインの際にユーザー名とパスワードに加え、ユーザーが登録した電話番号宛てにテキストメッセージなどで送られてくるワンタイム認証コードを入力しないとアクセスできないようになる。 同社は昨年9月にこの機能をGoogle Appsで提供開始しており、今回その提供範囲を全Googleアカウント保有者に拡大する。向こう数日のうちに全ユーザーが同機能を利用できるようになる見込みだ。 この機能を利用するには、Googleアカウント設定ページの「セキュリティ」の「Using 2-st
2月に米国でスタートしたGoogleアカウントの二段階認証プロセスが日本語を含む40カ国語に対応した。Googleの各種サービスのセキュリティが強化される。 米Googleは7月28日(現地時間)、2月に発表したGoogleアカウントの二段階認証機能を、日本語を含む40カ国語、150カ国以上に対応させたと発表した。日本語のスタートガイドも用意された。 同機能はオプトインで提供され、有効にするとログインの際にユーザー名とパスワードに加え、ユーザーが登録した電話番号宛てにテキストメッセージなどで送られてくるワンタイム認証コードを入力しないとアクセスできないようになる。これにより、Googleの各種サービスのセキュリティはかなり強化されることになる。 この機能を利用するには、Googleアカウント設定ページの「セキュリティ」の「2段階認証プロセスを使用する」のリンク先で設定する。認証コードを受け
悪質なリンクは、Googleの短縮URLサービスを使用しており、うっかりクリックすると、偽ウイルス対策ソフトの導入を迫られる。 セキュリティ各社は1月20日、Twitterで新手のワームが増殖し、偽ウイルス対策ソフトの配布ページにユーザーを誘導しているとして注意を促した。 米SANS Internet Storm Centerやロシアのセキュリティ企業Kaspersky Labによれば、ワームが拡散しているツイートの内容はさまざまだが、リンクにGoogleの短縮URLサービス「goo.gl」を使っているのが特徴だという。リンク先のWebサイトをたどると末尾が「m28sx.html」で終わっているという共通点がある。 この悪質なリンクをうっかりクリックすると、複数のリダイレクトページを経て、「Security Shield」という偽ウイルス対策ソフトの配布ページに誘導される。ここでは「あなた
TechCrunch JAPAN の記事によると Gmail に重大なセキュリティホールが発見された。 Google アカウントにログインした状態で悪意のあるサイトを訪問すると、そのアカウントで Gmail に蓄積したすべてのメールが盗まれるというもののようだ。既に実証サイトが作られている。これは API の欠陥をついた攻撃だったようだが、現在は既に修正された模様。 どのような手法だったのか、実際に悪用された例はあったのか、興味深い。 TechCrunch JAPAN の記事では「メールをすべて盗まれる」とあるが、本家 TechCrunch の記事によれば、harvested your Google email とあり、この記事に言及している他記事 (例えば Techie Buzz の記事) によれば、ログインしている Gmail の E-mail アドレスが収集されてしまうとのことで、セ
2日前にGoogle エンタープライズデイに参加しましたが 最も大きな収穫はPostiniでした。もともと知っていましたが うちにはうまく使えないと判断していて、使っていませんでした。 しかし、基調講演を聞きながらカタログを読んでいると どうやら簡単に導入できそうなことが判明。そこでPostiniに ついて調べていくとスゴイ!機能が満載だということを発見しました。 Postini(ポスティーニ)の主な機能は ・迷惑メールフィルタ ・ウイルスメール駆除 ・サーバー保護 ・レポート機能 他にもいろいろありますが、EC studio にとって重要な 機能は上記4つです。 何がすごいかピンとこないかも知れませんが、これからの 時代はいかにメールを届かせるか、いかに大切なメールを 失わずに受信するかがポイントなのです。 なぜメールの送受信が?!と思われるかも知れませんが 今や全世界のメールの93%が
INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。 しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起metaタグ(noindex,nofollow,noarc
先日、Googleが中国からの撤退を考えていることがニュースになったが、その原因の1つとして挙げられていた「サイバー攻撃」の攻撃元は中国当局であったことが判明したそうだ(47News、ars technica、本家/.)。 VeriSignのiDefenseセキュリティ・ラボによる調査で、今回の指揮統制サーバーや攻撃元IPアドレスが中国当局のもとの一致することが突き止められたとのこと。攻撃はAdobe Readerの脆弱性を突くもので、PDFファイルに悪意あるコードを仕込む手口だったという(ただし、AdobeはAcrobat Readerの脆弱性が利用されたとのiDefenseの主張に反論し、「Adobe ReaderではなくIEの脆弱性が利用された」と主張している)。 AFPBB News、CNN.co.jp、本家/.などによると、米Googleが中国における検索内容の検閲中止を発表した
Googleが先日、中国政府による検閲や人権活動家のGmailアカウントに対して高度に洗練された大規模なサイバー攻撃があったことなどが挙げた上で、中国から今後数週間で撤退する可能性があることを明らかにしましたが、この攻撃のもう1つの目的と思われるものが調査によって明らかになりました。 どうやら人権活動家に関する情報だけでなく、各企業が持つIT製品の根幹ともいえるソフトウェアの設計図「ソースコード」を狙ったものであった可能性があるようです。 詳細は以下から。 Google Hackers Targeted Source Code of More Than 30 Companies | Threat Level | Wired.com Researchers identify command servers behind Google attack これらの記事によると、インターネットインフラ
中国政府は国内のネット接続全体を通称「グレートファイアウォール(金盾)」と呼ばれるファイアウォールで囲んだ上で徹底した検閲を実行しており、中国当局に不都合な情報は表示されないようになっていますが、Googleが今後数週間で中国から撤退する可能性があることが明らかになりました。 背景には中国政府による検閲だけでなく、人権活動家のGmailアカウントに対して高度に洗練された大規模なサイバー攻撃があったことなどが挙げられています。 詳細は以下から。 Official Google Blog: A new approach to China Googleの公式ブログによると、2009年12月中旬にGoogleに対して中国から高度に洗練された大規模なサイバー攻撃が行われたそうです。そしてこの事件に関する調査をGoogleが行ったところ、当初考えられていた他の企業に対しても行われているような類の攻撃と
Googleによると、オープンソースのGoogle Android OSの脆弱性は既に修正され、T-MobileではT-Mobile G1スマートフォンのユーザーにパッチをプッシュ配信する予定だ。この脆弱性は、ハッカーカンファレンス「ShmooCon」で明らかにされたもの。 セキュリティ専門家のチャールズ・ミラー氏は、「最近明らかになった脆弱性に対するパッチを導入するまでは、T-Mobile G1スマートフォンのWebブラウザの利用には注意が必要だ」とユーザーに警告している。 2月6~9日にワシントンで開催された「ShmooCon」でこの脆弱性の技術的詳細を明らかにしたミラー氏によると、ユーザーは同ブラウザを使わないようにするか、もしくは信頼できるサイトへのアクセスだけにブラウザの使用を限定すべきだという。 このバグは、Androidのブラウザがマルチメディアサブシステムとして採用している
Googleドキュメントに、また新たなセキュリティ・ホールが発見されたようだ。TechCrunch Japanの記事によると、これはセキュリティー・コンサルタントのAde Barkah氏が指摘しているもので、概要は次のとおり。 非公開文書に埋め込まれた画像ファイルは非公開とはならず、URLさえわかれば誰でも閲覧可能(さらに、文書を削除してもその画像はアクセス可能状態のまま残る) 先日追加された図形描画機能で作成した図を誰かと共有した場合、共有相手はその図のバージョンをさかのぼって閲覧可能共有相手から誰かを削除した後でも、特定の条件下で、その相手が共有文書に依然としてアクセス可能(深刻な問題なので詳細は非公開)TechCrunchの問い合わせに対し、Googleの広報担当者は「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」と回答し
1 月 31 日深夜に発生した Google の「このサイトはコンピュータに損害を与える可能性があります。」とメッセージが表示される不具合 (/.J 記事) は、Google による人為的ミスが原因だったとのこと (InternetWatch の記事、本家 /. 記事より) 。 Google では悪意あるソフトをインストールする危険性のあるサイトについて、検索結果表示画面にて警告メッセージを表示している。米国時間 31 日朝 (日本時間31日深夜) 危険性なサイトのリスト更新作業を行った際、リストに誤って「/」が含まれていたとのこと。もちろん URL には全て「/」が含まれているため、表示される検索結果全てに警告メッセージが表示されるという事態となった。問題は日本時間 31 日 23:27 ~ 23:40 にかけて発生し、翌 0:10 ~ 0:25 にかけて修正が行われたとのこと。 なお、
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
Google Maniacsの記事「【らめぇ】ログイン情報を盗む極悪Gmail用ツール(しかも有償)の存在が発覚」によると、Gmailバックアップ用シェアウェア($29.95)のG-Archiverというソフトにおいて、ユーザーのアカウントとパスワードをプログラム作成者に送信する機能が隠されていたそうだ。ソースはGuardianの記事「Coding Horror — G-Archiver gathers Gmail names and passwords」、また大元の情報はCoding Horrorのblog記事「A Question of Programming Ethics」。記事によると、G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーディングされているのに気づき、そのアカウントにログインしてみたところ、177
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
